Евгений Плющев пишет про отмену сетевого нейтралитета в США, за что сегодня проголосовали пидо... в смысле чиновники Федеральной комиссии по связи США. Нетфликсу с его кошельком это, конечно, не грозит, а вот более мелким компаниям и стартапам может быть хуже, если эта отмена таки вступит в действие (как правильно пишет Саша, судебная система может заблокировать это решение)
https://t.me/PlushevChannel/1668

Помните ботнет Mirai, который состоял из десятков тысяч домашних гаджетов (в основном камер наблюдения) и в сентябре 2016 года положил половину интернета? Короче, создатели этого ботнета признали свою вину и теперь им светит до 5 лет в тюрьме и штраф до 250 тыс долл
https://krebsonsecurity.com/2017/12/mirai-iot-botnet-co-authors-plead-guilty/

админам, у которых есть файрволлы Palo Alto. Там нашли уязвимость с исполнением кода, апдейты уже доступны от производителя
http://seclists.org/fulldisclosure/2017/Dec/38

там, кстати, еще и в Офисе нашли какую-то аццкую уязвимость, и Microsoft уже выпустила апдейты. Правда, апдейты уязвимость не исправляют, а отключают технологию в Офисе, которая позволяет эту дыру эксплуатировать (Dynamic Update Exchange, DDE). Тот факт, что они выпустили апдейт даже для Office 2007, который давно не поддерживается, говорит о серьезности этой уязвимости. Вы знаете, что делать!
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170021

полезная шпаргалка используемых популярными приложениями и сервисами портов

Как Мозилла наступила на грабли, установив пользователям расширение Firefox без разрешения https://techcrunch.com/2017/12/15/mozillas-mr-robot-promo-backfires-after-it-installs-firefox-extension-without-permission/

Говоря об установках, нельзя не отметить факап у Microsoft, которые ставили на свежую инсталляцию Windows 10 менеджер паролей Keeper, причем ту версию, в которой была уязвимость, позволяющая сайтам воровать пароли из него. Так-то юзерам надо было запустить Keeper и установить плагин в браузер, поэтому нельзя сказать, что прям опасносте-опасносте, но осадок, как говорится, остается. https://bugs.chromium.org/p/project-zero/issues/detail?id=1481&desc=3

Я просто оставлю это здесь без всяких комментариев. Выводы делайте сами.

Биометрические данные клиентов банков в России будут предоставляться МВД и ФСБ. Это предусмотрено законопроектом о биометрической системе и удаленной идентификации граждан, принятым Госдумой во втором чтении 15 декабря.

Сведения будут направляться в МВД и ФСБ оператором биометрической системы по запросу правоохранительных органов, а порядок взаимодействия оператора и спецслужб определит правительство. Как заявил председатель думского комитета по финансовому рынку, соавтор законопроекта и председатель совета ассоциации банков «Россия» Анатолий Аксаков, «доступ будет только на основании полномочий, которые определены законом для силовых структур».

Исполнительный вице-президент Ассоциации российских банков Эльман Мехтиев отметил, что «если человек законопослушен, то и причины бояться нет». Он добавил, что доступ силовых ведомств к биометрии клиентов банков вряд ли снизит желание граждан пользоваться удаленной идентификацией.

Биометрическая система позволит жителям РФ получать услуги любого банка онлайн. Первичную идентификацию клиент проходит в финансовой организации с паспортом. После этого в банке снимают потенциального клиента на видео, записывают его голос и отправляют эти сведения в биометрическую систему. В дальнейшем россиянин сможет получить банковские услуги удаленно, передавая свое изображение и голос для сверки с системой.

Как указывают «Ведомости», МВД заинтересовалось проектом осенью 2017 года и хотело стать оператором биометрической системы. Однако еще в мае было решено, что функции оператора будет исполнять «Ростелеком».

общеобразовательная статья на Quartz о том, что надо быть осторожным, покупая IoT-устройства с рук. (не говоря уже о том, что продавцам тоже надо не забывать о том, что при продаже таких устройств их нужно сбрасывать в заводские настройки, чтобы не передать какие-то личные данные покупателю). так вот, при покупке надо быть уверенным, что продавец туда не воткнул какой-нибудь дополнительный софт, настройки или даже "приборчик" для последующего наблюдения за покупателем. самый надежный способ — покупать у производителя или хотя бы у крупной компании-продавца. Впрочем, это не защитит устройство от участия в каком-нибудь ботнете. https://qz.com/1156059/dont-buy-second-hand-internet-connected-iot-devices-from-sites-like-ebay-ebay/

в эпидемии вируса-вымогателя WannaCry США обвинили Северную Корею https://www.reuters.com/article/us-usa-cyber-northkorea/u-s-blames-north-korea-for-wannacry-cyber-attack-idUSKBN1ED00Q

Канада поддержала https://www.cse-cst.gc.ca/en/media/2017-12-19

Топ 25 паролей по популярности в 2017 году. Если у вас один из них — рекомендуется поменять его везде, где он используется, на что-то более безопасное. Информацию собрала компания SplashData

если у вас есть блог на WordPress и там используется плагин Captcha, то вам стоит знать, что недавно этот плагин был заражен и устанавливал скрытый бэкдор на сайтах, где он использовался. Интересно, что оригинальный разработчик продал плагин другому разработчику, который через три месяца после покупки выпустил апдейт, устанавливавшийся хитрым образом, минуя репозиторий Вордпресса. Покупатель проворачивал такую схему уже неоднократно, скупая плагины и выпуская апдейты со ссылками на свою компанию, которая выдает краткосрочные кредиты. Это помогает его компании подниматься выше в результатах поиска. Короче, нехороший человек, редиска.
https://www.bleepingcomputer.com/news/security/backdoor-found-in-wordpress-plugin-with-more-than-300-000-installations/

Вчера не успел написать о малвари, обнаруженной специалистами Лаборатории Касперского. вредоносное ПО умеет показывать рекламы, участвовать в DDoS атаках, слать текстовые сообщения и втихаря подписываться на платные сервисы. Но что еще хуже — оно майнит криптовалюту, причем настолько агрессивно, что может привести к физическому повреждению аккумулятора телефона. Троян распространяется внутри приложений из сторонних магазинов, через рекламу в браузерах и спам по SMS. Больше деталей по ссылке https://securelist.com/jack-of-all-trades/83470/

PS подумаешь, троян. у Apple вон и без всяких троянов иногда вспухают батареи. А у Самсунг вообще была огненная рекламная кампания с Note 7

и хорошие новости для пользователей твиттера. наконец-то твиттер разрешил для двухфакторной авторизации использовать не коды, приходящие по СМС, а сторонние приложения вроде Google Authenticator
https://help.twitter.com/en/managing-your-account/two-factor-authentication

Подписчик канала (а также по совместительству автор канала по схожей тематике https://t.me/vulns) прислал интересную авторскую статью об уязвимостях в различных сервисах, связанных с криптовалютой. Это должно помочь принять решение о том, где лучше хранить свои криптосбережения https://habrahabr.ru/post/343152/

Рубрика "никогда такого не было, и вот опять". В очередном бакете AWS обнаружили данные на 123 миллиона домохозяйств США, включая адрес, контактную информацию, наличие ипотеки, и проч. финансовую информацию. Информация была доступна любому пользователю с аккаунтом AWS
https://www.scmagazine.com/open-aws-s3-bucket-exposes-sensitive-experian-and-census-info-on-123-million-us-households/article/720067/

В рамках пятницы хорошая шутка с игрой слов (на английском)

"My password is "Snow White and the Seven Dwarfs"

This is to ensure its 8 characters."

Атака на сайты WordPress с целью подбора брутфорсом админских логина-пароля, чтобы установить майнер криптовалют на сайте. Так что проверьте там, чтобы у вас был пароль посложней
https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-infects-wordpress-sites-with-monero-miners/

вообще злодеи, распространяющие вредоносное ПО, начинают переключаться с возможности вымогать деньги у пользователя за выкуп доступа к данным на майнинг криптовалюты, что, видимо, выгодней
https://threatpost.com/crooks-switch-from-ransomware-to-cryptocurrency-mining/129229/